Vijf vragen over het kraken van de UZI-pas

1. Wat is de UZI-pas en wat is ermee aan de hand?

De UZI-pas is een smartcard, net als de chipknip. Een van daarop opgeslagen zaken is een geheime sleutel die voor cryptografie belangrijk is. Experts zijn er nu in geslaagd om met behulp van een bekende aanvalstechniek de geheime sleutel te achterhalen. Dit betreft smartcards die voor de versleuteling een specifiek algoritme gebruiken.

Het probleem speelt bij een combinatie van het RSA-versleutelingsmechanisme in combinatie met het Chinese Remainder Theorem (CRT). Dat laatste is een techniek om de werking van de cryptografie te versnellen. Met het in handen krijgen van het geheime certificaat is het in principe mogelijk om een belangrijke pijler onder de veilige authenticatie weg te slaan.

De aanval van deze week is op zich niet nieuw. In 1998 ontdekten onderzoekers van Cryptography Research, Inc., aangevoerd door Paul Kocher, dat een chip informatie prijsgeeft aan de hand van het stroomgebruik en de elektromagnetische straling. Zij konden op basis van stroommetingen, ofwel Differential Power Analysis (DPA), de meeste in productie zijnde smartcards met succes kraken. Nieuw is dat deze aanval nu met succes is uitgevoerd op de UZI-pas.

2. Wie speelt een rol in dit verhaal?

De tweede hoofdrolspeler is Getronics, de systeemintegrator die de chip levert. Dit bedrijf heeft laten weten het softwareprobleem te verhelpen, maar reageert niet op een verzoek om meer informatie.

Verder zijn er twee onderzoekers die claimen het probleem te hebben ontdekt. Gisteren publiceerde het Nederlandse bedrijf Riscure een paper waarin een gedeelte van de techniek uit de doeken wordt gedaan. De betrokken fabrikanten zijn hiervan op de hoogte gebracht. Pascal van Gimst, directeur sales & business development bij Riscure, vertelt Webwereld dat er op dit moment toch wel wat kennis nodig is om de aanval uit te voeren. Hij bestempelt het dan ook niet als 'trivial attack'. Ook spreekt het bedrijf niet over de specifieke situatie rond het EPD.

Twee dagen terug vertelde onderzoeker Erik Westhovens dat hij een DPA-analyse heeft uitgevoerd. Hij heeft al in november 2008 aan het Ministerie van Volksgezondheid verteld dat er problemen zijn met de UZI-pas. Volgens hem is er geen echt laboratorium nodig om die pas te kraken. Hij kan de aanval uitvoeren met slechts een pc en twee laptops. Hij publiceert verder geen details en noemt dat een "kwestie van ethiek". Volgens hem is de paper van Riscure niet voldoende om een aanval uit te voeren en is het alleen mogelijk het kraakproces te versnellen. Hij stelt dat de code al dateert van 1977 en dat de benodigde kennis ook gewoon op internet is te vinden.

De verantwoordelijk minister voor het EPD, Ab Klink, stuurde eerder deze week een brief over het probleem naar de Tweede Kamer. Volgens hem zijn de risico's gering. De passen worden echter toch vervangen. "Wel is het belangrijk de kwetsbaarheid op korte termijn weg te nemen. Voor de UZI-pas is deze overgang naar een modernere chip (zonder de geconstateerde kwetsbaarheid) voorzien voor medio derde kwartaal 2009. Vanaf dat moment zal elke nieuwe UZI-pas zijn voorzien van de nieuwe chip", schrijft hij dan ook.

Ook Govcert heeft zich inmiddels geroerd: het heeft een factsheet over de problematiek geschreven.

3. Waar wordt die chip nog meer gebruikt?

Verder moeten er aanpassingen volgen in de Digitale Tachograaf-pas, een persoonsgebonden pas voor chauffeurs van vrachtwagens met een digitale vervoersmeter. Wat daarvoor de gevolgen zullen zijn, zal op Europees niveau besloten worden. Volgens experts zal de vertraging voor het hele project overzichtelijk zijn.

Voor de levering van de Taxi-pas voor de boordcomputer in taxi's zijn er in ieder geval wel gevolgen. De leverancier heeft volgens staatssecretaris Tineke Huizinga van Verkeer en Waterstaat aangegeven de systemen nu niet tijdig te kunnen leveren. Huizinga denkt wel de regelgeving tijdig te kunnen publiceren. Of nieuwe regels echt op tijd in werking kunnen treden is nu nog niet duidelijk.

4. Hoe erg is die kraak nu eigenlijk?

Toch is het achterhalen van het versleutelde certificaat bij de meeste systemen nog niet voldoende om die echt geheel te kraken. Bij de meeste toepassingen moet de gebruiker namelijk ook een pincode invoeren. Wie daar drie keer de mist mee ingaat, ontdekt dat de pas geblokkeerd is. Een succesvolle aanval op het totale systeem vereist dan ook kennis van die pincode. Natuurlijk is dat niet ondenkbaar, want bij de bankpas hebben we al gezien dat skimmers bereid en in staat zijn camera's te plaatsen, of het toetsenbord van een pinautomaat af te tappen.

5. Wat zijn de gevolgen van de ontdekking?

Dat is lastig te zeggen, omdat de toepassingen zo verschillend zijn. Ieder systeem heeft een eigen risico-profiel. Op dit moment is dure apparatuur en expertise nodig.